V I R U S I R T O es epromegeto

[norbimagan]

Szia János!



Eprom-tema:
>is van elég tennivalóm. Akik profik benne, egy kis igazítás a meglévő
>keresőn és már azt is tudja. Így van a saját tervezésű eeprom-égetőm
>is. Jön egy új eeprom, beírom a protokollt, letesztelem és máris
>tudja.

No, errol elmondanal valami bovebbet? A programot irod at a protokollnak
megfeleloen, vagy van keszitettel egy univerzalis leiro nyelvet, s egy
TXT-ben azt bovited? Ha az utobbi, akkor lenne maganban par kerdesem,
mert valami hasonlo, leiro nyelv megalkotasan dolgozom en is, igaz
nemcsak epromegetesre.

Viruskereso temahoz:
A víruskereső tenyleg nem nagy ugy. Sok aprocska trukk van, de parat
leirok, amik a legprimitivebbek talan kozuluk. (a primitiv is lehet
iszonyatosan hatekony!!!) :))) Ezzel barmelyikotok foghat virust, s
irhat ra keresot: (hangsulyozom: csak bizonyos virusokra jo, de azert a
zomere reszre igen!)

1.,
Vannak persze koztuk polimorf, alakvaltoztato virusok, vagy tordelos
virusok, amikre ez igy nem egeszen lesz jo, ott trukkozgetni kell. Nem
akarok tippeket adni virusiroknak, ezert ezt nem irom le, de az is kb.
15 perces dolog...

Szoval olyan ez, mint a pecazas:
Fogsz egy exe file-t, s egy hexeditorba betoltod. Vagy akar egy
debug-ba.
A fejlec kivetelevel felulirod 00, vagy $20 karakterekkel. Amint
lementetted, kesz a csalifile... Ezt beteszed oda, ahol sejtesed szerint
a virus fertoz leghamarabb... (pl. rendszerparticio gyokere.)
Ugyanigy csinalsz egy COM allomanyt is, de ez meg konnyebb, ennek fejlec
sem kell, ugyis raharapnak... :))

Azutan irsz egy kis progit, ami mondjuk 3 percenkent lecsekkolja a
csalimadar(aka)t. :) Ha valtozott valami, akar hosszban, akar
tartalomban, akkor hooopsz, kapas van. A legtobb esetben ott a virus a
programkod vegen. Ez lesz a mintad... :))) Mivel egy virus hosszabbacska
joszag, ezert nem erdemes a teljes mintazatra rakeresni. Erdemes tehat
leroviditeni a keresesu idot. Ezert eloszor leveszed a hex-editorral a
csalirol a virusmintat, atteszed valamilyen szoveges HEX-formatumba,
hogy konnyebb legyen dolgozni vele pl. egy szovegszerkesztovel.
(Rutinosabbak a DEBUG-al is megcsinaljak mindezt, nehany atiranyitassal.
:) ) Ez azert is jo, hogy a virusos geprol egy sterilre biztonsagosan at
tudd vinni a mintat. Hiszen irtot irni csak ott lehet biztonsagosan.
A legtobb esetben (felezgeteses modszerrel pl.) talalhato egy olyan
szakasza, ami csak ra jellemzo, vagyis a programod csak a virust fogja
jelezni, teves riasztas nelkul.

No, ha tobb virusod van, esetleg tobbszoros a fertozes, akkor kicsit
macerasab a dolog. Ekkor egy izolalt gepet fertozol meg csak a
feltetelezett virussal, mert igy kisebb a variaciok szama a
felezgetesnel. 

A fentiek nemi gyakorlattal kb. 5 perces munkak. Nem eszmunka, nem
csoda: csak robotolos munka. Szoval megvan a virusod bimintaja, vagy a
tobb virus bitmintai. Ezeket nem art nem binaris formaban tarolni a
lemezen, merthogy esetleg a viruskeresok felismerhetik, letorolhetik.
:))) Nemelyik mai viruskereso mar annyira buta, gagyi, hogy ezt a hibat
gyakran megis elkovetik...

Ezutan jon az eszmunka resze a dolognak: irsz egy progit, amit elnevezel
keresonek. Ez a progi azt csinalja, hogy eloszor keszit az osszes
futtathato allomanyrol egy file-listat, keresesi utvonallal.
Ezutan jon egy kulso ciklus, ami sorban megnyitogatja olvasasra a
fileokat.
Most jon a belso ciklus, ami szepen az adatminta alapjan vegigpasztazza
a file-t, hogy egyezik a valahol a szekvencia.
Ami talalat van, azokat osszeirja, listat keszit roluk. Mar meg is
vannak a potencialis aldozatok. Ezeket egyszerubb esetben lehet torolni,
ha van roluk biztonsagi masolat, vagy nem fontosak. Ez mar az irto resz
lesz.
Amikor megvannak a virusgyanus allomanyok, ezekre nem art a teljes
virusmintat is razavarni, hogy van -e teves riasztas, esetleg mar valaki
nem -e atirta mutansra is.

Ha leszedni is kell a virust, nemcsak izolalni, akkor jon az
eszmunka-negyzet. :)))
Ugyanis az automatikus eltavolitashoz bele kell nezni a kodba, hogy
mikent szaporodik a virus, tehat a reprodukcios reszt vissza kell
fejteni, s ennek megfeleloen irni meg az irto rutint. Ez altalaban
1...masfel oras melo, virustol fuggoen, s nem art tobbszorosen is
ellenorizni mindent, tesztelni a hatekonysagot, stb... Mindent
egybevetve fel nap korul van egy 2...4fos tesztcsapatnak ez a munka, s
korantsem oly misztikus, mint sokan lefestik.

Persze valag fajta virus van. Ott vannak a trojaikk, makrovirusok,
bootvirusok, spyware-ek, malware-ek, stb,stb... Ezekre is megvannak a
kis trukkocskek.

Ha ez ennyi a bitmintas keresok keszitese hazilag, diohejban. Anno,
amikor meg a regi DOS-os idok voltak, BASIC-ben irkaltam oket egy-egy
virusra, mert nem leven Internet, seholse irtoprogi- jobb hijan. :))))

2.,
Ja, meg egy masik megoldas: az ellenorzo osszeges vedelem. Ez egy
automatizalhato eljaras. Arra jo, hogy eszrevedd, ha baj van:

Irsz egy primitiv progit, ami ugyanugy az osszes file-on vegigmegy a
rendszerben. Azonban az olvasas kozben valamilyen algoritmussal (pl.
(egyszeru osszeadassal adott bitszamon) minden reszet a filenak
beolvassa, s elkeszit egy ellenorzo osszeget. Vagyis minden file-nak
lesz egy sora, amiben a neve, illetve az utana kovetkezo checksum
szerepel.
Ezutan idonkent (pl. naponta egyszer) megnezed, hogy van-e elteres. 
A listaban szereplo, de a lemezen is meg letezo allomanyok kozott.
 Ha nincs, akkor megnezed, van-e torolt file, vagy uj file a
rendszerben, 
S aktualizalod az adatbazist. Ha van meret, vagy tartalomvaltozas a
file-ban, akkor jon a riasztas. Szol a kezelonek, aki eldontheti, hogy
mit tegyen. A viruslaborokban ez is remek modszer, hogy egy virust
felismerjenek. Tehat itt seholsem a'rtott a virus, mindossze minimum
egyszer, de szaporodott. Mar ez is eleg ahhoz, hogy keresni lehessen ra!

Ezutan jon a moka java: a gyanus allomanyokat egy kis progi
osszehasonlitja, egyezest keres bennuk. A darabolos, illetve polimorf
virusra is mukodik persze a dolog, csak ott ez a progi kicsit ugyesebbre
van megirva.
Amikor az egyezesek megvannak, a ket allomany metszetet elkesziti,
illetve kiirja egy allomanyba. No, ezzel meg is van a virus egy resze,
vagy egesze, mint bitminta, lehet irni a kereso/irtot hozza.

3., 
A boot-virusok ellenorzese annyi, hogy idonkent egy programmal lementik
file-ba a boot-szektort. A mentett allomanyokat pedig osszehasonlitjak,
s ha nem egyezik, kepezik a metszetet. Persze itt sok teves riasztas is
lehet, de a hozzaerto tudja, mikor van virusa.

A fenti modszerek hatekonysaga azzal alaposan fokozhato, ha fertozetlen
boot-lemezrol futtatjuk a keresoket.

Ja, igen! Nem art, ha a kereso programunk egy ellenorzo osszeges
vedelemmel ellenorzi magat futas elott, nehogy vegigfertozzon mindent.
:)))

Windows ala persze nehezebb irtot kesziteni. Ennek a multitaszk, a
zarolt allomanyok, illetve hasonlo okai vannak. Latszik is sok kereson,
hol van elbarmolva... :)))

XXX:
Lehet meg ezer meg egy dologra is keresot kesziteni, de ezek is
primitivek valojaban. Pl. ellenorizni lehet a sablonfile-okat (*.DOT),
lehet figyelni, hogy az EXCEL autostart kt.-aban mi valtozott. A
windows/inditopultban mi valtozott. Lehet rendszerinditaskor
automatikusan lementeni a regisztrit, s minden mentest eltarolni,
illetve vizsgalgatni. Lehet logolni a mail-port, vagy akar mindegyik
port forgalmat, stb... Szoval van modszer rendesen, csak neki kell ulni,
s at kel gondolni.

Ennyit tudtam leirni a virusirtok kesziteserol. Gyakran a fenti
folyamatoknak 80...90%at ma mar automatikusan megcsinaljak a szoftverek,
a tobbit pedig grafikus feluleten villamgyorsan lehet elvegezni!
Lathato, hogy nem ordongosseg. Van par szabvany trukkje, illetve van par
szabvany megoldasa. Azoban meroben ujabb tipusu virusok feltunese eseten
bizony beletelhet akar napokba is, mire elkeszul a hatekony vedelem
ellenuk, hiszen ott kokemenyen programokat kell irni, illetve
visszafejteni a kodot.
Neha tobb antivir ceg is osszefog ez esetben, mert a presztizs
mindenkinek penzt er... :)




Udv.:
         Norbi.